『.lnk』ファイルでEmotetにウイルス感染。IPAとJPCERTが注意喚起。Office未インストール環境でも感染
WordやExcelなどのMicrosoft Officeを必要とせず、『.lnk』ファイルでEmotetにウイルス感染する手法が出回っており、IPAおよびJPCERTが注意喚起しています。
IPAによると、2022年4月25日頃より、『.lnk』ファイル(ショートカットファイル)を悪用してEmotetへ感染させる手口が確認されており、メールに添付された『.lnk』ファイルをダブルクリックしたり、実行したりするとEmotetに感染するとのこと。
さらに厄介なことに、『.lnk』ファイルはWindowsの標準設定では拡張子が表示されず、見分けが付きにくいため注意が必要です。例えば『資料.txt.lnk』といったファイルであれば、『資料.txt』となって、『.lnk』が消えて表示されます。
現在のところ、メールに『.lnk』ファイルが直接添付されている場合と、パスワード付きZIPファイルとして添付されていてその中に『.lnk』ファイルが埋め込まれているパターンが確認されています。
『.lnk』ファイルが直接添付されている例
『.lnk』ファイルが格納されたパスワード付きZIPファイルが添付されている例
また、JPCERTは、これらの手法について「ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至る、WordやExcelのマクロやコンテンツ有効化を必要としない方法」と述べており、Microsoft Officeがインストールされていない環境でも感染するとのことです。
企業や組織向けの対策として、業務で『.lnk』ファイルを扱わないのであれば、メールサーバー側で『.lnk』ファイルが添付されたメールをブロックしたり、ZIPファイルに格納されたファイルの拡張子のチェックが可能なシステムであれば『.lnk』ファイルが含まれていたらブロックするといった設定を行うようIPAはアドバイスしています。
『.lnk』ファイルはもちろんのこと、不審な添付ファイルは開かないようお気をつけください。